Jaap van Belkum | 14 juli 2023 13:29
‘Geen gegevens buitgemaakt die een ‘negatieve materiële influence kunnen hebben voor TomTom of zijn klanten’. Dat zou betekenen dat, volgens TomTom, zij noch hun klanten door de hack met further kosten geconfronteerd worden. De vraag is of males dat nu al kan concluderen. Is doxing of spear fishing niet mogelijk met behulp van de bij TomTom gestolen knowledge?
De Russischtalige CLoP (ook CL0p genoemd) is wellicht onderdeel van een grotere groep die met namen als FIN11, TA505 en zeker nog 7 andere namen werkt. CLoP zou o.a. Shell, ING en de Universiteit Maastricht als slachtoffer hebben gemaakt. De geschatte gezamenlijke afperssom voor de honderden grote slachtoffers is bij elkaar zo’n half miljard greenback. De startprijs de dubbele afpersing van een groot bedrijf is bij CloP ca 3 miljoen greenback voor een unieke decryption key. FIN11 zou CLoP software program hebben gebruikt en eerder Fortra GoAnywhere Managed File Switch applicatie en Accellion’s File Switch applicatie hebben misbruikt om aanvallen uit te voeren, een vergelijkbare methode als bij CLoP. FIN11 lijkt vooral een uitvoerende organisatie te zijn, die grote aantallen slachtoffers kan maken.
CL0p zou theoretisch vanuit de Oekraïne kunnen werken, mede omdat daar ook veel Russischtaligen wonen en de Krim bijna half Russischtalig is door het omvolken door tsaren en communisten. Opvallend daarbij is dat CLoP een IP-adres zou hebben gebruikt dat hoort bij de oostelijke stad Kramatorsk, die tijdelijk in handen van Rusland is geweest. De Oekraïense Nationale Cyberpolitie heeft in juni 2019 leden van CLoP ransomware groep voor witwassen opgepakt en infrastructuur ontmanteld.
Is CLoP Oekraïens of komen alleen wat Russischtalige leden uit Oekraïne? Volgens hun eigen darkish net leak website, voert CLoP ransomware aanvallen uit tegen bedrijven en instellingen uit landen die Oekraïne steunen en enkele neutrale landen, maar geen staten van Gemenebest van Onafhankelijke Staten (GOS). Dit is een verband van voormalige Sovjetrepublieken ,waar de Russische Federatie (RF) ook lid van is en waar ze Russisch als gemeenschappelijke (koloniale) taal hebben. CLoP ransomware zou op foundation van herkenning van keyboard structure instellingen proberen te voorkomen dat Russischtalige systemen geïnfecteerd worden. Opvallend is ook dat de ransomware actoren CLoP en het Russische FIN11 al lange tijd heel nauw samenwerken en niet over elkaar lekken zoals bij de Conti groep uit Oekraïne is gebeurd, toen de leiding voor Rusland koos na de massale inval van 24 februari 2022. CLoP is dus in ieder geval pro-Russisch, zo niet Russisch.
Mogelijkerwijs heeft CLoP de SQL injection vulnerability in MOVEit al in juli 2021 getest. De CLoP groep heeft pas veel later en in een korte tijd veel grote slachtoffers gemaakt. Het is ongebruikelijk dat criminele ransomware organisaties zoveel geduld tonen. Activiteiten van CLoP leden zijn volgens sommige analisten van Kroll zelfs al te traceren vanaf 2014. Toen gingen groen geüniformeerde (Wagner) vrijwilligers zonder insignes, de Krim veroveren en de Russische geheime diensten GRU en SFB zwaar gewapende separatisteneenheden in Oost-Oekraïne oprichten. Het MH-17 drama was daarvan voor ons één van de gevolgen. Dit en andere zaken duiden erop dat de leden van CLoP ransomware groep voor de RF werken, waarschijnlijk vanuit de RF of andere landen uit de GOS. Daar kunnen ze zich relatief veilig verder ontwikkelen.